⏱ 5 min
La révision de la loi sur la protection des données entrera en vigueur en Suisse le 1er septembre 2023. Les exigences qu’elle impose obligent les entreprises à garantir encore davantage la protection des données à caractère personnel. Les personnes chargées de la gestion d’une organisation ont un rôle important à jouer. Dans le cas des sociétés anonymes, il s’agit des membres du conseil d'administration.
Alors que le Règlement Général sur la Protection des Données (RGPD) de l'UE prévoit des procédures administratives contre l’entreprise, le Parlement suisse a décidé de poursuivre pénalement les personnes responsables dans l'entreprise.
Système de sanctions
Ce sont en premier lieu les personnes chargées de la haute direction de l’entreprise concernée qui seront soumises aux sanctions. Dans une société anonyme, par exemple, il s’agit des membres du conseil d'administration, éventuellement aussi des membres de la direction.
Les dispositions pénales de l'art. 60 de la loi révisée sur la protection des données (revDSG) prévoient une amende pouvant aller jusqu'à CHF 250’000 en cas de violation de l'obligation d'informer et de renseigner si, par exemple, un renseignement inexact ou incomplet est fourni intentionnellement.
▶ Pour en savoir plus sur les nouvelles obligations d'information, consultez notre article «Révision de la loi sur la protection des données – ce dont les entreprises doivent tenir compte».
Responsabilités du conseil d’administration
1. Sensibilisation et formation
La responsabilité suprême du respect de la loi sur la protection des données et de l’organisation qui s’y rapporte au sein de l’entreprise incombe au conseil d'administration. Il doit s’assurer que tous les collaborateurs et les cadres dirigeants disposent d'une compréhension adéquate de la protection des données qui soit adaptée à leur fonction respective. Des formations et des mesures de sensibilisation régulières sont indispensables pour garantir le respect des directives de l’entreprise en matière de protection des données.
2. Stratégie d’entreprise conforme à la loi sur la protection des données
Il incombe au conseil d’administration de s’assurer qu’une stratégie d’entreprise conforme à la loi sur la protection des données soit élaborée et déployée. Celle-ci englobe les directives, procédures et processus définis pour protéger de manière adéquate les données à caractère personnel. Il est important que le conseil d'administration ait une vue d’ensemble des principaux processus impliquant le traitement de données personnelles, qu’il identifie les risques liés au traitement de données à caractère personnel et qu’il prenne les mesures de protection nécessaires.
3. Surveillance des mesures de protection des données
Une des tâches du conseil d'administration consiste à surveiller la mise en œuvre et le respect des dispositions en matière de protection des données. Il doit s’assurer que les insuffisances soient identifiées et corrigées. Il doit également répondre de la mise en place de mécanismes de contrôle adéquats pour vérifier l'efficacité des mesures prises et le respect de la loi sur la protection des données. Il est très important d’établir des rapports réguliers sur l’état des mesures afin d’identifier les éventuels points faibles et de prendre des mesures à temps.
La révision de la LPD impose notamment l’implémentation de trois nouveaux processus:
- Un processus pour répondre aux droits des personnes concernées, car toute personne peut demander l’accès à ses données personnelles, leur suppression ou leur rectification. En règle générale, l'entreprise dispose de 30 jours après réception d’une demande pour fournir les renseignements.
- Un autre processus pour annoncer au plus tôt au PFPDT toute violation de la sécurité des données. L’entreprise doit donc être organisée de manière à pouvoir faire une annonce dans un délai d’env. 72 heures.
- Enfin, un processus pour intégrer à l'avenir dans la planification et l’informatique l’aspect de la protection des données dans le développement de nouveaux systèmes.
▶ Retrouvez les 5 choses que les entreprises doivent faire dans notre article «Anticipons l’entrée en vigueur de la révision de la loi sur la protection des données – 5 choses à faire pour les entreprises»
4. Conseiller à la protection des données personnelles
Certaines entreprises suisses seront dans l’obligation de nommer un conseiller à la protection des données. Le conseil d'administration joue un rôle décisif dans la sélection et la nomination d'une personne qualifiée. C’est à lui de s'assurer que cette personne dispose de suffisamment d’indépendance au sein de l'organisation, qu’elle possède les connaissances et les compétences nécessaires et qu'elle est dotée des ressources nécessaires pour répondre aux exigences de l'entreprise en matière de protection des données. Le conseiller à la protection des données conseille les membres du conseil d'administration et de la direction sur les questions de protection des données. Il fait également le lien avec les collaborateurs et les autorités de surveillance pour les questions de protection des données.
5. Responsabilité et transparence
Les membres du conseil d'administration doivent être conscients qu’ils peuvent être tenus personnellement responsables en cas de violation de la loi sur la protection des données. Il est donc primordial de garantir que toutes les mesures relatives à la protection des données au sein de l’entreprise sont documentées de manière transparente et compréhensible. Par ailleurs, le conseil d'administration devrait vérifier régulièrement que les mesures mises en place sont suffisantes et, si nécessaire, procéder à des ajustements.
Conclusion
La révision de la loi sur la protection des données représente un nouveau défi pour les entreprises. Le rôle du conseil d'administration est essentiel pour garantir la protection des données au sein de l'entreprise. Il peut s’assurer que l'entreprise répond aux exigences de la révision de la LPD et que les données personnelles sont protégées de manière adéquate grâce à la sensibilisation, la formation, la surveillance, la nomination d’un conseiller à la protection des données, la transparence et la mise en place de directives claires. Il est indispensable que le conseil d'administration participe activement à la mise en place de ces mesures pour obtenir et conserver la confiance des clients, des partenaires commerciaux et du public.